Wiederholte Cyber Security-Vorfälle in IoT-Anwendungsbereichen zeigen, dass allzu oft nur die notwendigsten an möglichen Sicherheitsmaßnahmen umgesetzt werden. Kombiniert mit Fehlern in der Anwendung resultieren daraus auch schwerwiegende Vorfälle. Die Lernkurveneffekte stehen noch am Anfang, meist machen dieselben Probleme Systeme viel zu leicht angreifbar. Weit verbreitete Lösungen wie Smart Homes oder auch komplexe Industriesteuerungen sind aufgrund schlechter oder fehlender Sicherheitsstandards wandelnde Zielscheiben für Cyberkriminelle.
Verschiedene Einrichtungen haben diese Herausforderungen inzwischen adressiert und versuchen mit Regularien zu unterstützen und lenkend entgegenzuwirken. So hat beispielsweise US-Präsident Biden die CISA und NIST mit der Entwicklung von Leistungszielen für die Cybersicherheit kritischer Infrastrukturen beauftragt. [1] Auch in der EU ist ein Gesetzesentwurf für die sichere Umsetzung von IoT-Systeme für diverse Anwendungsbereiche in der Abschlussphase. [2] Betroffen sind einerseits die Hersteller in der Ausführung, aber auch Anwendenden bei der Nutzung.
Cyber-Security Standards und Best-Practices seit Jahren bekannt
Viele dieser „neuen“ IoT-basierten Services werden seit Jahren auf Basis von statischen Technologien und unveränderten Betriebsmodellen eingesetzt. Best Practice Empfehlungen wie die OWASP IoT Top 10 [3] sind schon seit einigen Jahren verfügbar, es scheinen jedoch verpflichtende Standards notwendig.
Die starke Zunahme der vernetzten Geräte in allen denkbaren Anwendungsfällen ist ein wesentlicher Bestandteil bei der Entwicklung verbindlicher Sicherheitsanforderungen. Je nach Anwendungsfall ist zu unterscheiden: Ein potenzielles Problem bei einem intelligenten Lautsprecher oder Staubsauger ist oft ärgerlich; eine Sicherheitslücke bei Geräten, die die Patientenversorgung oder eine umfangreiche industrielle Fertigung verwalten, kann katastrophale Folgen haben. Mit Systemen, die nach wie vor in einem altertümlich anmutenden „ship-and-forget“-Verfahren implementiert und betrieben werden, ist ein dauerhaft sicheres Service nur schwer und umständlich möglich. [4]
Neue branchenweite Sicherheitsstandards sollen als Leitlinien dienen und nachvollziehbare Klarheit in die Gerätesicherheit bringen. Gesetze für die Einhaltung und Anwendung von Vorschriften erzeugen hoffentlich ein nachvollziehbares, überprüfbares System. So könnte es auch für die KundInnen einfacher werden, die Umsetzung der Gesamtsicherheit unter verschiedenen Anbietern und Herstellern zu vergleichen.
Realistisch betrachtet ist mit einer mehrjährigen Umsetzungs- und Lernphase zu rechnen. Die Entwicklung solcher Standards scheint jedoch vielversprechend. Alles, was die Erhöhung der IT-Sicherheit unterstützt, kommt schlussendlich den Anwendern und Unternehmen zugute.
Lesenswert:
AMNESIA:33 – Kritische Sicherheitslücken in IoT Geräten<
Von Smart-Home bis Enterprise: 5 Gefahrenmodelle für IoT-Hubs
Höchste Warnstufe: Remote Code Execution auf IoT-Geräten möglich
Quellen: